image

Google Chrome gaat tls-certificaten van Camerfirma blokkeren

vrijdag 29 januari 2021, 10:18 door Redactie, 9 reacties

Google gaat vanaf Chrome 90 tls-certificaten van certificaatautoriteit Camerfirma blokkeren. Aanleiding is een lange reeks van overtredingen door de certificaatautoriteit die teruggaan tot maart 2017. Zo heeft Camerfirma certificaten voor een niet geregistreerd domein uitgegeven en verstrekte het een certificaat met een verkeerde organisatienaam. Ook had de certificaatautoriteit twee sub-certificaatautoriteiten die het vrij spel gaf en niet controleerde, terwijl de regels voor certificaatautoriteiten dit verplichten.

Volgens Ryan Sleevi van Google is er sprake van "systemisch falen", net zoals bij Symantec het geval was. Daarvan besloot Google ook de certificaten te blokkeren. Volgens Sleevi heeft Camerfirma herhaaldelijk zelfs de meest basale verwachtingen van een certificaatautoriteit niet waar kunnen maken en de tekortkomingen niet gedetecteerd. "We zien een falen van zowel Camerfirma als diens ondergeschikten om problemen tijdig te detecteren en melden, en een falen om systemen te ontwerpen die robuust genoeg zijn om snel actie te ondernemen", merkt Sleevi op.

Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Volgens Sleevi wil Camerfirma de ernst van de problemen niet erkennen, ondanks dat het al jaren de eisen voor certificaatautoriteiten niet goed heeft geïmplementeerd.

Google heeft daarom besloten om vanaf Chrome 90, die op 13 april moet verschijnen, certificaten van Camerfirma te blokkeren. Bij het bezoeken van websites met Camerfirma-certificaten krijgen gebruikers een waarschuwing dat het certificaat is ingetrokken. Deze waarschuwing kan niet worden genegeerd, wat inhoudt dat gebruikers de website niet kunnen bezoeken. Of andere browserontwikkelaars zullen volgen is op dit moment nog niet bekend, maar het ligt in de lijn der verwachting. Bij soortgelijke incidenten in het verleden kwamen browserontwikkelaars vaak tot dezelfde conclusie.

Reacties (9)
29-01-2021, 11:19 door Anoniem
Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...
29-01-2021, 12:45 door Anoniem
Een goede zaak even de boel opschonen het werdt tijd in alle browsers staan oude veiligheids certificaten is mij opgevalen
Dus opruimen die hap ....wat veiligheid betreft .
en toch weer een goede stap van google van daar dat ik steeds weer uit kom op google...helaas maar weer een stuk je veilig
heid goed bezig google..........en maar af geven op google..........
29-01-2021, 13:07 door Anoniem
Het is over all het zelfde liedje allebrowser heben oude certificaten zo wel op je pc en je smart phone.....
Nou nog wakker worden.....gebruikers?
29-01-2021, 13:15 door Briolet
Door Anoniem: Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...

Die is er al lang voor Chrome en Safari op de mac. Daar zitten geen certificaten in de browser. Het OS verzorgt daar de certificaten.

Op de Mac staan er 4 root certificaten van Camerfirma op. Ik moest even flink zoeken omdat ze anders heten en een zoekopdracht met "Camerfirma" niets opleverde.

2x "Cambers of Commerce Root"
2x "Global Chambersign root"
29-01-2021, 13:34 door Anoniem
Door Briolet:
Door Anoniem: Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...

Die is er al lang voor Chrome en Safari op de mac.

Windows heeft ook een eigen certificate store. Maar wordt die wel gebruikt? Door Firefox niet, in ieder geval.
Chrome volgens mij wel. Maar daar zal dan wel weer een eigen additionele lijst overheen liggen ofzo.
29-01-2021, 21:59 door Anoniem
Door Anoniem: Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...

Europa zit te slapen.
30-01-2021, 08:53 door Anoniem
Door Anoniem: Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...

Na installatie van software/hardware wordt er vaak een zogenaamde hardening gedaan om de installatie nog veiliger te maken. Dit is het "goed & veilig zetten" van de instellingen, niet gebruikte modules deactiveren, etc...

Het opschonen van de root en intermediate CA's zit hier ook in.
De meeste westerse bedrijven komen echt niet in aanraking met certificaten uitgegeven door een Chinese CA, dus is er geen reden om deze te houden. Indien nodig kunnen ze nog steeds opnieuw terug toegevoegd worden.

Het onvoorwaardelijk vertrouwen van een root CA en daardoor ook alle onderliggende is echt geen goede security strategie.
Voor eindgebruikers die louter een "werkende" omgeving willen, is dit natuurlijk een makkelijke oplossing, en gebeurt er geen hardening. Een dergelijke manier van werken hoort echter niet gebruikt te worden in een beveiligde omgeving...
30-01-2021, 08:57 door Anoniem
Door Anoniem: Een goede zaak even de boel opschonen het werdt tijd in alle browsers staan oude veiligheids certificaten is mij opgevalen
Dus opruimen die hap ....wat veiligheid betreft .
en toch weer een goede stap van google van daar dat ik steeds weer uit kom op google...helaas maar weer een stuk je veilig
heid goed bezig google..........en maar af geven op google..........

Wie beheert jou computer?
Doe je dat zelf? Of verwacht je dat Google dat voor jou doet?

Als admin op je computer kan jij zelf de certificate store beheren en bepalen welke certificaten jij wel of niet vertrouwt.
Dit kan individueel voor je O.S, je Webbrowser, je Java installatie, je Linux software repositories, etc...
30-01-2021, 10:24 door Anoniem
Door Anoniem:
Door Anoniem: Bijft toch sneu dat na al die jaren van dit soort issues de browserfabrikanten nog steeds geen mechanisme hebben om de lijst van vertrouwde root certificaten bij te kunnen werken zonder de hele browser te moeten updaten...

Na installatie van software/hardware wordt er vaak een zogenaamde hardening gedaan om de installatie nog veiliger te maken. Dit is het "goed & veilig zetten" van de instellingen, niet gebruikte modules deactiveren, etc...

Het opschonen van de root en intermediate CA's zit hier ook in.
De meeste westerse bedrijven komen echt niet in aanraking met certificaten uitgegeven door een Chinese CA, dus is er geen reden om deze te houden. Indien nodig kunnen ze nog steeds opnieuw terug toegevoegd worden.

Als je dat zou willen dan mogen ze toch wel eerst eens beginnen met voor ieder OS een enkele certificate store te
gebruiken die verplicht door alle geinstalleerde browsers geraadpleegd wordt en waar fatsoenlijke beheer tools voor
zijn om deze onafhankelijk van de browsers bij te werken en er eventueel door de lokale betweter certificaten in te
laten disablen.

Als iedere browserfabrikant dat zelf oppakt en niet eens tooling levert voor wat je daar omschrijft dan is het uiteraard
niet werkbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.